O Regulamento Geral de Protecção de Dados (RGPD) é o novo regulamento da União Europeia (UE) para a protecção de dados pessoais. Entra em vigor de forma efectiva a 25 de Maio. E as sanções por incumprimento são elevadas.
É uma adaptação que responde a uma realidade em que é possível juntar todos os dados recolhidos em bens e serviços, retirar informação para construir perfis e definir comportamentos, mesmo sem o consentimento expresso do titular dos dados para partilha de informação. Assim, o novo regulamento solidifica a posição individual do titular, deixando de permitir o armazenamento de dados sem prazos limite. E vai exigir adaptações por parte das empresas.
O RPGD aplica-se a todos os estados-membros da União Europeia (EU), ou seja, todos os estabelecimentos e responsáveis que tratem dados pessoais, no contexto de actividades ou oferta de produtos e serviços. Isto inclui empresas que lidem com cidadãos residentes na UE, mesmo que não sejam empresas europeias.
As empresas terão de fazer várias adaptações:
- Ter um responsável pelo tratamento de dados (o “controller”) e subcontratantes (os “processors”) para uniformizar a maneira como a empresa trata os dados dos utilizadores e colaboradores. O processor trata dos dados pessoais e o controller determina como e com que fim. Esta relação tem de ser contratualizada.
- Criar procedimentos de protecção de dados, em todas as etapas em que lidem com os mesmos. Como exemplos de medidas podem considerar a pseudonomização (tratamento de dados pessoais de forma a que estes não possam ser atribuídos aos utilizadores correspondentes, assegurando o anonimato), a minimização, a formação e formalização de políticas.
- As actividades devem ser registadas, com o contacto do responsável pelo tratamento dos dados, as finalidades para a empresa possuir esses mesmos dados, a descrição dos titulares, categorias, destinatários e períodos de retenção e todas as saídas de dados para fora da UE.
- Ter a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência dos sistemas de tratamento, ou seja, a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais atempadamente, em caso de incidente físico ou técnico.
- Efectuar uma avaliação de impacto sempre que for realizado um tratamento de risco elevado para os titulares. A avalição é obrigatória, em casos de tratamento automatizado ou sistemático dos dados pessoais ou com vista a definição de perfis.
Q&A
Quais as responsabilidades perante os titulares?
Garantir que são informados de forma concisa e transparente, com linguagem clara. Dar o direito ao titular de aceder, rectificar, transferir ou apagar e limitar o acesso aos dados.
Qual é o procedimento, em caso de falha de segurança?
Quando houver uma violação do sistema, o responsável pelo tratamento de dados pessoais terá de notificar a autoridade competente até 72 horas depois da falha de segurança. Esta notificação, além dos contactos do encarregado pela protecção de dados, tem de descrever a natureza da violação, o número aproximado de titulares e de dados pessoais em causa. Tem de explicar também as consequências e medidas adoptadas contra o efeito negativo.
Qual é a autoridade que toma conta desta matéria?
A entidade nacional responsável pelo cumprimento do RGPD em Portugal é a Comissão Nacional de Protecção de Dados (CNPD). O responsável pelo tratamento e subcontratante devem estar preparados para cooperar com este orgão.
A minha empresa é pequena. Também tenho de fazer a adaptação?
As entidades com menos de 250 trabalhadores são obrigadas a registo apenas se tiver implicado o risco para os direitos e liberdades do titular dos dados, se o tratamento for regular ou implicar dados pessoais sensíveis.
O que é o DPO?
A sigla refere-se ao Data Protection Officer, o profissional que o responsável e o subcontratante terão de nomear sempre que o tratamento dos dados for efectuado por uma autoridade ou organismo público (excepto tribunais), ou quando seja exigido um controlo regular e sistemático dos titulares em grande escala, dados sensíveis, ou relacionados com condenações penais e infracções.
O DPO informa e aconselha, controla a conformidade e a repartição de responsabilidades, e participa na sensibilização e formação do pessoal.
Quais as punições para o não cumprimento?
As sanções podem chegar aos 20 milhões de euros, ou até 4% do volume de negócios anual da empresa, consoante o que for mais elevado.
Quando o incumprimento referir dados pessoais de menores, tal pode implicar o pagamento de até 2% do volume de negócio. A Comissão Nacional de Protecção de Dados vai ter em conta, ao aplicar a coima, a gravidade, duração, número de titulares afectados e danos sofridos.
Prepare-se:
1 – Realize uma auditoria para saber como trata os dados dentro da empresa.
2 – Estabeleça políticas internas para qualquer falha que encontre.
3 – Reveja formulários e acordos de privacidade, até em termos de linguagem.
4 – Prepare mecanismos para responder a pedidos de uso de direitos, como o Direito ao Esquecimento ou à Portabilidade.
5 – Nomeie o seu responsável e subcontratantes.
6 – Se a sua empresa tiver menos de 250 colaboradores, veja se trabalha com alguma das excepções previstas.
7 – Reveja as bases de consentimento que dá aos utilizadores dos serviços que vende. Podem precisar de adaptação, ou até mesmo de um novo pedido.
8 – Reveja os contratos e subcontratações nos serviços de tratamento de dados.
9 – Verifique se transfere dados para fora da União Europeia e, se sim, analise a legitimidade da transferência.